Seit den Urteilen des EuGH rund um Schrems I und Schrems II ist der Datentransfer in die USA ein kritisches Thema in der digitalen Welt. Es geht darum, dass personenbezogenen Daten in den USA nicht so gespeichert und verwaltet werden, wie es dem europäischen gesetzlichen Standard (DSGVO) entspricht und daher nicht über den Atlantik gesendet werden dürfen.
Gerade die Urteile gegen netdoktor.at und die Abmahnwelle in Deutschland und Österreich rund um Google Fonts haben die europäischen Nutzer von amerikanischen Diensten stark verunsichert. Immer mehr Unternehmen suchen seitdem vor allem nach heimischen Alternativen.
US-Präsident Joe Biden hat nun eine Executive Order erlassen, welche den Datentransfer in die USA sicherer machen soll. Dementsprechend würde dann auch die DSGVO gewährleisten werden. Heißt das jetzt, dass wir unsere Daten wieder ohne Bedenken einfach über den Atlantik, wie z.B. Google, schicken können?
Um diese Frage zu beantworten, muss man sich diese Executive Order genauer ansehen. Konkret geht es um 2 Punkte:
⚖️ Verhältnismäßigkeit
Artikel 52 der GRC
Der EuGH verlangt, dass Daten nur dann von U.S. Nachrichtendiensten überwacht werden dürfen, wenn Verhältnismäßigkeit für die Begründung gegeben ist.
🧑⚖️ Gerichtlicher Rechtsbehelf
Artikel 47 der GRC
Sollten die Rechte eines/-r EU Bürger:in verletzt worden sein, muss diese:r die Möglichkeit haben vor einem Gericht Rechtsbehelf zu beanspruchen.
Und was bedeutet das jetzt?
Mit der neuen Executive Order sollen diese 2 Punkte nun berücksichtigt werden und einen DSGVO-konformen Datentransfer über den Atlantik garantieren. Das sagen aber vor allem die Amerikaner:innen - was der EuGH entscheidet, steht noch in den Sternen.
Ein positive Entwicklung sieht vor allem der europäische Datenschutzexperte und -verfechter Max Schrems sehr skeptisch. Auf seiner Website noyb.eu hat er schon seine ersten Einschätzungen abgegeben:
Die USA haben zwar die Begriffe verhältnismäßig und notwendig eingeführt, allerdings sind diese rechtlich anders ausgelegt. Dies erlaubt es den USA weiterhin Überwachungsprogramme wie PRISM auf US-Servern voll anzuwenden, was nach der europäischen Auslegung deutlich eingeschränkter passieren müsste.
Der Rechtsbehelf, den die USA mit der neuen Executive Order garantieren wollen, wird nicht von einem tatsächlichen Gericht ausgeführt. Beim eingeführten Data Protection Review Court handelt es nur um eine Stelle in der Exekutive, weshalb der Rechtsbehelf kein gerichtlicher ist. Weiters befürchtet Schrems, dass das Urteil bereits vor der Klage festliegt und daher nicht von einem fairen Prozess gesprochen werden kann.
Wenn wir Max Schrems nun glauben wollen, was sich in den letzten Jahren durchaus bezahlt gemacht hat, dann können wir davon ausgehen, dass sich so schnell nichts ändern wird. Die USA sind zwar "bemüht" eine Lösung zu finden, damit ihre Unternehmen nicht zu viel vom europäischen Kuchen verlieren. Die Lösungen wirken aber, wie auch schon die Vorgänger (z.B. Privacy-Shield), eher als Scheinlösungen.
Dies bedeutet für die Nutzer in der EU, dass Tools, bei denen Daten oder einfache Requests in die USA geschickt werden, weiterhin als kritisch gegenüber der DSGVO zu sehen sind.
Sie brauchen Hilfe im Datenjungel?
Ich helfe Ihnen gerne.